.jpg)
什麼是MDR:
「託管式偵測及回應」(Managed Detection and Response,簡稱MDR) 是一種資安委外服務,專為企業提供威脅追蹤及應變服務,其中最重要的就是專業網路資安人才的投入:由資安廠商的研究人員和工程人員來幫MDR 服務的客戶監控網路、分析事件、回應各種資安狀況。
需求提升:
最有效偵測未知攻擊的MDR服務方案:
資安管理人員的難題:
服務流程:
服務架構圖:
Mitre ATT & CK Matrix 簡介:
對應Mitre ATT & CK Matrix 我們能做到:
詳細搜集常駐的所有程式:
傳統事件處理流程-數量少於十台:
大多需經過長時間才會發現且需10-20天才能處理完成
EndBlock處理流程-數量不受限:
於數分鐘內即可獵捕及緊急處理
端點收集器基本需求:
總結:
「託管式偵測及回應」(Managed Detection and Response,簡稱MDR) 是一種資安委外服務,專為企業提供威脅追蹤及應變服務,其中最重要的就是專業網路資安人才的投入:由資安廠商的研究人員和工程人員來幫MDR 服務的客戶監控網路、分析事件、回應各種資安狀況。
需求提升:
- 至2025年,將有50%的組織將MDR服務用於威脅監控,檢測和提供威脅制止功能。
- 過去12個月內的調查,MDR市場的增長和知名度仍在繼續。 Gartner觀察到最終用戶的收入增長了44%。
最有效偵測未知攻擊的MDR服務方案:
- MDR服務主要依賴EDR產品
- EDR產品兩個主要目標
- D是Detection屬於自動偵測功能,無法有效偵測未知攻擊
- R是Response屬於人力處理,可以分析未知攻擊
- 面對內部威脅,應採取積極探尋的方式,從被動反應改為主動防禦
資安管理人員的難題:
- 不好管:資安設備越來越複雜,資安人員卻很難接受足夠的訓練。
- 不能管:資安設備警報量不停增長,處理警訊的效率跟不上。
- 不夠快:當攻擊者穿透資安設備,處理與反應的時間太慢。
服務流程:
服務架構圖:
Mitre ATT & CK Matrix 簡介:
對應Mitre ATT & CK Matrix 我們能做到:
詳細搜集常駐的所有程式:
傳統事件處理流程-數量少於十台:
大多需經過長時間才會發現且需10-20天才能處理完成
EndBlock處理流程-數量不受限:
於數分鐘內即可獵捕及緊急處理
端點收集器基本需求:
- CPU效能消耗< 1%
- 網路平均每1000台頻寬消耗 1Mb/s
- 900台 PC 加上100台Server的平均值
- 需要開放以下兩個網域
- Log.cloudhood.com.tw:443、Endblock.cloudhood.com.tw:443
- 支援作業系統
- Windows 7以上、Windows Server 2008以上
總結:
- 資安事件會發生表示資安設備已被攻擊者繞過
- 既然資安設備已經被繞過,那就代表不會有任何資安警報
- 所以一直到重大損失發生前,幾乎不可能自行發現已經被入侵
- EndBlock將傳統人力鑑識自動化,變成主動且即時的分析
- 駭客入侵系統幾分鐘內,EndBlock開始啟動偵查,損失壓縮到最小
